In der heutigen digitalisierten Geschäftswelt sind Daten das neue Gold. Doch mit der Fülle an Informationen wachsen auch die Anforderungen an deren Schutz. Unternehmen beauftragen immer häufiger externe Dienstleister für IT-Services, Cloud-Lösungen oder die Lohnabrechnung. Dabei handelt es sich um eine Auftragsverarbeitung.

Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag eines anderen Unternehmens – des sogenannten Verantwortlichen – verarbeitet. Dies kann eine Vielzahl von Szenarien umfassen, von der Nutzung von Cloud-Diensten über die Auslagerung der IT-Infrastruktur bis hin zur externen Lohnbuchhaltung. Die rechtliche Grundlage hierfür bildet Art. 28 der DSGVO. 

Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Er trägt die Hauptverantwortung für die Rechtmäßigkeit der Datenverarbeitung, die Transparenz gegenüber den Betroffenen und die Einhaltung deren Rechte. Selbst wenn ein externer Dienstleister beauftragt wird, bleibt der Verantwortliche in der Pflicht. 

Der Auftragsverarbeiter hingegen ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Seine Rolle ist klar definiert: Er handelt streng nach den Weisungen des Verantwortlichen und darf die Daten nicht für eigene Zwecke nutzen. Eine seiner Kernpflichten ist die Implementierung und Aufrechterhaltung geeigneter technisch-organisatorischer Maßnahmen (TOM), um den Schutz der Daten und die Datensicherheit zu gewährleisten.

Es ist essenziell, die Rollen klar voneinander abzugrenzen. Eine Auftragsverarbeitung liegt nicht vor, wenn der Dienstleister eigenständig über die Zwecke und Mittel der Verarbeitung entscheidet. In solchen Fällen agiert er entweder selbst als Verantwortlicher oder es handelt sich um eine gemeinsame Verantwortlichkeit. Für die Praxis ist es daher unerlässlich, bereits vor Vertragsabschluss eine eindeutige Rollenklarheit herzustellen, um rechtliche Grauzonen zu vermeiden.

Ein zentrales Instrument zur Regelung der Auftragsverarbeitung ist der Auftragsverarbeitungsvertrag (AV-Vertrag). Dieser Vertrag ist nicht nur eine Formalität, sondern eine verbindliche Vereinbarung, die detailliert festlegt, wie der Auftragsverarbeiter die Daten im Auftrag des Verantwortlichen zu verarbeiten hat. Ohne einen wirksamen AV-Vertrag ist die Beauftragung eines Dienstleisters zur Verarbeitung personenbezogener Daten rechtlich hoch riskant und stellt einen Verstoß gegen Art. 28 DSGVO dar. 

Die DSGVO schreibt in Art. 28 Abs. 3 detailliert vor, welche Inhalte ein solcher Vertrag zwingend umfassen muss. Dazu gehören unter anderem: 

• Der Gegenstand und die Dauer der Verarbeitung. 
• Die Art und der Zweck der Verarbeitung. 
• Die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen. 
• Die Pflichten und Rechte des Verantwortlichen. 
• Regelungen zum Umgang mit Unterauftragsverarbeitern, einschließlich der Notwendigkeit einer Genehmigung und der Weitergabe der Pflichten. 
• Eine detaillierte Beschreibung der technisch-organisatorischen Maßnahmen (TOM), oft als Anlage zum Vertrag. 
• Das Vorgehen bei der Löschung oder Rückgabe der Daten nach Beendigung des Auftrags. 
• Die Nachweispflichten des Auftragsverarbeiters und die Auditrechte des Verantwortlichen. 

Ein weiterer wichtiger Aspekt sind die Betroffenenrechte. Der Verantwortliche bleibt der primäre Adressat für Anfragen von betroffenen Personen bezüglich ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch). Der Auftragsverarbeiter ist vertraglich zu verpflichten, den Verantwortlichen bei der Erfüllung dieser Rechte umfassend zu unterstützen, beispielsweise durch die Bereitstellung relevanter Daten oder technische Hilfestellung innerhalb der gesetzlichen Fristen. Mehr dazu lesen Sie in diesem Blogbeitrag. 

Das Weisungsrecht ist ein Kernprinzip der Auftragsverarbeitung. Der Vertrag muss unmissverständlich klarstellen, dass der Auftragsverarbeiter Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten darf. Dies ist in Art. 28 Abs. 3 a i. V. m. Art. 29 DSGVO verankert. Um Missverständnisse zu vermeiden, sollten mündliche Weisungen stets schriftlich dokumentiert oder über etablierte Ticketing-Systeme nachvollziehbar gemacht werden.

Die Einhaltung der DSGVO erfordert von beiden Parteien, dem Verantwortlichen und dem Auftragsverarbeiter, eine Reihe von Pflichten, die über den reinen Vertragsabschluss hinausgehen. 

Pflichten des Verantwortlichen: 

• Sorgfältige Auswahl: Der Verantwortliche muss sicherstellen, dass der ausgewählte Auftragsverarbeiter hinreichende Garantien für die Einhaltung der DSGVO und die Umsetzung geeigneter TOM bietet. Eine gründliche Due Diligence ist hier unerlässlich. 
• Rechtssicherer Vertrag: Der Auftragsverarbeitungsvertrag muss vor Beginn jeglicher Verarbeitung abgeschlossen werden und alle gesetzlich vorgeschriebenen Punkte enthalten. 
• Rechtsgrundlage und Transparenz: Es muss eine gültige Rechtsgrundlage für die Datenverarbeitung bestehen, und die betroffenen Personen sind umfassend über die Verarbeitung zu informieren. 
• Betroffenenrechte: Der Verantwortliche trägt die primäre Verantwortung für die Bearbeitung und Erfüllung der Betroffenenrechte. Hierfür sind klare Prozesse und Fristen zu etablieren. 
• Kontinuierliche Kontrolle: Eine einmalige Prüfung des Auftragsverarbeiters genügt nicht. Regelmäßige Kontrollen, Audits und die Anforderung von Nachweisen sind Pflicht. 
• Dokumentation: Alle Schritte – von der Auswahl über den Vertrag bis hin zu den Kontrollen – müssen sorgfältig dokumentiert werden, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.

Pflichten des Auftragsverarbeiters: 

• Weisungsgebundenheit: Daten dürfen ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Ein Handeln außerhalb dieser Weisungen stellt einen Rechtsverstoß dar. Die Daten dürfen keinesfalls für eigene Zwecke verwendet werden. 
• TOM: Der Auftragsverarbeiter ist für die Umsetzung und Aufrechterhaltung geeigneter TOM gemäß Art. 32 DSGVO verantwortlich. 
• Vertraulichkeit: Es muss gewährleistet sein, dass nur befugte Personen Zugriff auf personenbezogene Daten haben und diese zur Vertraulichkeit verpflichtet sind. 
• Unterstützungspflichten: Der Auftragsverarbeiter muss den Verantwortlichen umfassend unterstützen bei der Erfüllung von Betroffenenrechten, der Meldung und Behandlung von Datenschutzverletzungen sowie bei Datenschutz-Folgenabschätzungen, sofern dies vereinbart oder erforderlich ist. 
• Informationspflicht: Stellt der Auftragsverarbeiter fest, dass eine Weisung des Verantwortlichen gegen Datenschutzrecht verstößt, muss er diesen unverzüglich informieren. 
• Unterauftragsverarbeiter: Werden weitere Dienstleister (Unterauftragsverarbeiter) eingesetzt, muss der Auftragsverarbeiter sicherstellen, dass diese dieselben Datenschutzpflichten erfüllen wie er selbst.

Die technisch-organisatorischen Maßnahmen (TOM) sind das Rückgrat der Datensicherheit in der Auftragsverarbeitung. Ihr Ziel ist es, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten, die personenbezogene Daten verarbeiten. Art. 32 DSGVO fordert hier ein dem Risiko angemessenes Schutzniveau.

Typische Bereiche, die durch TOM abgedeckt werden, umfassen: 

• Zutritts-, Zugangs- und Zugriffskontrolle: Maßnahmen, die unbefugten physischen Zutritt zu Datenverarbeitungsanlagen verhindern (z. B. Schließsysteme) sowie den unbefugten Zugriff auf IT-Systeme (z. B. Rollen- und Berechtigungskonzepte, starke Authentifizierung). 
• Weitergabekontrolle: Sicherstellung, dass Daten bei der Übermittlung oder beim Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (z. B. Verschlüsselung, Pseudonymisierung). 
• Eingabekontrolle: Maßnahmen, die eine nachträgliche Überprüfung und Feststellung ermöglichen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (z. B. Protokollierung, Logging). 
• Verfügbarkeitskontrolle: Schutz vor zufälliger Zerstörung oder Verlust (z. B. Backups, Notfall- und Wiederanlaufpläne). 
• Organisatorische Maßnahmen: Dazu gehören interne Richtlinien, Prozesse, regelmäßige Schulungen der Mitarbeitenden und ein etabliertes Incident-Management. 

Die konkreten TOM sollten detailliert als Anlage zum Auftragsverarbeitungsvertrag dokumentiert und regelmäßig auf ihre Wirksamkeit überprüft sowie bei Bedarf aktualisiert werden. 

Eng verbunden mit den TOM ist die Verpflichtung auf die Vertraulichkeit der Mitarbeitenden. Jeder, der im Rahmen der Auftragsverarbeitung mit personenbezogenen Daten in Berührung kommt, muss zur Vertraulichkeit verpflichtet werden. Dies ist nicht nur eine vertragliche, sondern auch eine organisatorische Notwendigkeit. 

Die praktische Ausgestaltung umfasst: 

• Vertraulichkeits- und Datenschutzklauseln in Arbeitsverträgen. 
• Ergänzende Verpflichtungserklärungen nach DSGVO und Bundesdatenschutzgesetz (BDSG). 
• Regelmäßige Schulungen zu Datenschutz, Informationssicherheit und dem korrekten Umgang mit potenziellen Vorfällen. 
• Eine lückenlose Dokumentation aller Schulungen und Verpflichtungen, inklusive Teilnehmerlisten und Protokollen.

Diese Maßnahmen dienen dazu, gegenüber Aufsichtsbehörden nachzuweisen, dass der Datenschutz im Unternehmen organisatorisch fest verankert ist und die Mitarbeitenden für den sensiblen Umgang mit Daten sensibilisiert sind.

Die Auftragsverarbeitung endet nicht mit dem Abschluss des Vertrages. Vielmehr erfordert sie eine fortlaufende Überwachung und Kooperation, um die Einhaltung der Datenschutzvorgaben zu gewährleisten. 

Der Auftragsverarbeitungsvertrag muss dem Verantwortlichen umfassende Kontroll- und Auditrechte einräumen. Dies ermöglicht es, die Einhaltung der vereinbarten Maßnahmen und die Wirksamkeit der TOM regelmäßig zu überprüfen. Mögliche Ausprägungen dieser Rechte sind: 

• Vor-Ort-Audits, bei denen der Verantwortliche oder ein beauftragter Dritter die Räumlichkeiten und Prozesse des Auftragsverarbeiters prüft. 
• Remote-Audits, beispielsweise durch detaillierte Fragebögen oder Videokonferenzen. 
• Die Vorlage von Zertifikaten, Auditberichten, Ergebnissen von Penetrationstests oder Nachweisen über ein etabliertes Informationssicherheits-Managementsystem (ISMS). 

Wichtig ist die Regelmäßigkeit dieser Kontrollen. Eine einmalige Prüfung bei Vertragsbeginn ist nicht ausreichend. Alle Prüfungen und deren Ergebnisse sollten sorgfältig dokumentiert werden. 

Der Auftragsverarbeiter hat im Gegenzug Nachweis- und Informationspflichten. Er muss dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die dieser benötigt, um die Einhaltung der DSGVO-Pflichten nachzuweisen. Dies schließt die Mitwirkung an Überprüfungen ein, sei es durch die Beantwortung von Fragen oder die Bereitstellung technischer Informationen. 

Die Zusammenarbeit mit der Datenschutzaufsichtsbehörde ist ein weiterer kritischer Punkt. Der Verantwortliche ist der primäre Ansprechpartner für die Aufsichtsbehörden und trägt die Verantwortung für eine kooperative Zusammenarbeit, beispielsweise bei Prüfungen, Auskunftsersuchen oder Datenschutzvorfällen. Der Auftragsverarbeiter muss den Verantwortlichen dabei umfassend unterstützen und alle notwendigen Informationen bereitstellen, wie technische Details, Protokolle oder Nachweise zu den TOM. Eine transparente und gut dokumentierte Auftragsverarbeitung reduziert das Risiko von Bußgeldern und Auflagen bei behördlichen Prüfungen erheblich.

Die Auftragsverarbeitung ist ein komplexes Feld, das höchste Sorgfalt und Fachwissen erfordert. Die Einhaltung der DSGVO-Vorgaben ist nicht nur eine rechtliche Pflicht, sondern auch ein entscheidender Faktor für das Vertrauen Ihrer Kunden und Geschäftspartner. Bei audius verstehen wir die Herausforderungen, vor denen Unternehmen im Bereich Datenschutz stehen. 

Vertrauen Sie auf audius, um Ihre Daten sicher zu verarbeiten und sich auf Ihr Kerngeschäft zu konzentrieren. Wir unterstützen Sie dabei, Ihre Auftragsverarbeitung rechtssicher zu gestalten und die Compliance zu gewährleisten. Kontaktieren Sie uns!